試題11月1.人們對的認(rèn)識從信息技術(shù)安全發(fā)展

人們對的認(rèn)識從安全發(fā)展到保障,主要是由于:為了更好地完成組織機構(gòu)的使命針對信息系統(tǒng)的方式發(fā)生重大變風(fēng)險控制技術(shù)得到性的發(fā)除了性,信息的完整性和可用性也引起保障的最終目標(biāo)是掌握系統(tǒng)的風(fēng)險,確保系統(tǒng)的性、完整性和可用全保障要素達(dá)到要求保障信息系統(tǒng)實現(xiàn)組織機構(gòu)的使命（IATFIF（ensen-eth關(guān)支撐性基礎(chǔ)設(shè)施等多個領(lǐng)域的安全保障；IATF強調(diào)深度防御（Defense-in-Depth）,即全運IATF來保、IATF強調(diào)的是以安全檢測監(jiān)測和自應(yīng)填充“安全間隙”為循環(huán)來提高&、依據(jù)GB/T20274《信息系統(tǒng)安全保障息系統(tǒng)安全保障的角度來描述的信息系以下關(guān)于信息系統(tǒng)安全保障是和客觀的其現(xiàn)有安全保障工作是否滿足其安全保障目標(biāo)的信心。綜合考慮安全管理、安全工程和人員安全等，以全面保障信息系統(tǒng)安全是一種通過客觀向信息系統(tǒng)所有者提供信心的活動是和客觀綜合評估的結(jié)果信息系統(tǒng)保護(hù)輪廓（ISPP）定義 某種類型信息系統(tǒng)的與實現(xiàn)無關(guān)的一組系某種類型信息系統(tǒng)的與實現(xiàn)相關(guān)的一組系某種類型信息系統(tǒng)的與實現(xiàn)無關(guān)的一組系某種類型信息系統(tǒng)的與實現(xiàn)相關(guān)的一組系以下對PPDR該模型提出以安全策略為，防護(hù)、檢該模型的一個重要貢獻(xiàn)是加進(jìn)了時間因全狀操作的描述該模型1：Pt>Dt+Rt，代表防1Pt＝Dt+Rt護(hù)時間為0以下哪一項不是我國信息化為加強保障明確九項工作作內(nèi)提高產(chǎn)品的率保證投加快人才培重視應(yīng)急處理工誰首先提出了擴散－的概念并應(yīng)用于密&以下哪些問題概念不是公鑰體制中常使用到的問題大整數(shù)分背包問偽隨機數(shù)發(fā)生器下列關(guān)kerckhofff準(zhǔn)則的合理性闡述中，保持算法的比保持密鑰的性要困在一個系統(tǒng)中， 以下關(guān)于RSA算法的說法，正確的是A.RSABRSA只能用于數(shù)字簽名C.RSAD.RSA&Hash兩個不同的消息，得到相同的消 消 和消息的長度相消 比消息的長度更下列哪種算法通常不被用于保證性B.C.數(shù)字的功能不包括加數(shù)字簽認(rèn)消 下列哪一項是機構(gòu)（RA）的職責(zé)注提 服務(wù)讓用戶查審核申請人信息IPsec兩種工作模式：隧道模式、傳輸模式&下列哪些描述同SSL相關(guān)名的真實性以及加密數(shù)據(jù)&下列關(guān)于IKEIKE可以IPsec協(xié)商關(guān)IKE可以為RIPV2\OSPPV2等要求的協(xié)IKE可以L2TP協(xié)商安全關(guān)聯(lián)IKE可以為SNMPv3等要求的協(xié)議協(xié)調(diào)下面哪一項不 協(xié)議標(biāo)準(zhǔn)自主控制與強制控制相比具有以具有較高的安全具有較強的靈活性以下關(guān) Wall模型說法正確的Bob可以讀銀行a讀取銀c中的數(shù)據(jù)&模型中的有害客體是指會產(chǎn)生利益，不Bob可以讀銀行a能讀取石油公司u中的數(shù)據(jù)Bob可以讀銀行a的中的數(shù)據(jù)，Alice可以銀行b中的數(shù)據(jù)他們都能在油公uBobu以下關(guān)于BLPBLP模型主要包括簡單安全規(guī)則和*-規(guī)*-以下關(guān)于RBAC該模型根據(jù)用戶所擔(dān)任的角色和安全級來一個象進(jìn)行或執(zhí)行某種操作&在該模型中，每個用戶只能有一個角下列對常見強制控制模型說法不正確BLP影響了許多其他控制模型的發(fā)Clark-Wilson模型是一種以事物處理為基本W(wǎng)all模型是一個只考慮完整性的安全策略Biba模型是一種在數(shù)學(xué)上與BLP模型對偶防止對系統(tǒng)資源的非在安全后追查活作為一名專業(yè)人員你正在為某司設(shè)計信息資源的控制策略由于該公司及在公司中的職責(zé)來確定對信息資源的權(quán)限最應(yīng)該采用下列哪一種控制模型？自主控制強制控制基于角色控制最小(LEAST下列對kerberos協(xié)議特點描協(xié)議采用單點登錄技術(shù)，無法實現(xiàn)分布式協(xié)議與機制相結(jié)合，支持雙向的TGTTGT沒有過期，TGTTGS完成到任一個服務(wù)器的認(rèn)證而不必重新輸入AS和TGS是集中式管理，容易形成瓶頸，系統(tǒng)的性能和安全也嚴(yán)重依賴于AS和TGS以下對單點登錄技術(shù)描述不正確的是單點登錄技術(shù)實質(zhì)是安全憑證在多個用使用單點登錄技術(shù)用戶只需在登錄時進(jìn)行一次，就可以多個應(yīng)用使用單點登錄技術(shù)能簡化應(yīng)用系統(tǒng)的開下列對標(biāo)識和鑒別的作用說法不正確的是它們是數(shù)據(jù)源認(rèn)證的兩個因聯(lián)的確知標(biāo)識與鑒別無法數(shù)據(jù)完整性機制結(jié)合起來 標(biāo)識和鑒別確知的下面哪一項不屬于集中控制管理技術(shù)？安全審計是系統(tǒng)活動和記錄的獨立檢查輔助辨識和分 的活動或?qū)εc已建立的安全策略的一致性進(jìn)行核查及時阻斷安全策略的致性幫助發(fā)現(xiàn)需要改進(jìn)的安全控制措施下列對蜜網(wǎng)關(guān)鍵技術(shù)描述不正確的是數(shù)據(jù)捕獲技術(shù)能夠檢測并審計的所有數(shù)據(jù)分析技術(shù)則幫助安全研究人員從捕獲的數(shù)據(jù)中分析出的具體活動，使用工具通過數(shù)據(jù)控制能夠確保不能利用蜜網(wǎng)危害第網(wǎng)絡(luò)的安全監(jiān)視、分析和&以下哪種無線加密標(biāo)準(zhǔn)中哪一項的安全性最弱 路由器的標(biāo)準(zhǔn)控制列表以什么作為判數(shù)據(jù)包的源地址數(shù)據(jù)包的端D.通常在設(shè)計VLAN以下哪一項不是規(guī)劃方法MAC地基于數(shù)字提供服隱藏內(nèi)部網(wǎng)絡(luò)地址進(jìn)行檢防哪一類具有根據(jù)傳輸信息的內(nèi)（如關(guān)鍵字、文件類型）來控制連接的能力濾狀態(tài)檢測應(yīng)用網(wǎng)關(guān)以上都不以下哪一項不屬于檢測系統(tǒng)的功能提供安全審計報過濾的數(shù)據(jù)包下面哪一項不是通用IDS模型的組成部分:B.過濾器D.管理Linux系統(tǒng)的用戶信息保以下windows賬號的描述,正確的是:A.Windows系統(tǒng)是采SIDwindows操作系統(tǒng)中,令人欲限制用戶無效登在”本地安全設(shè)置”中對”策略”進(jìn)行設(shè)在”本地安全設(shè)置”中對”用戶鎖定策略”進(jìn)行在”本地安全設(shè)置”中對”審核策略”進(jìn)行設(shè)在”本地安全設(shè)置”中對”用戶權(quán)利措施”進(jìn)行45在數(shù)據(jù)庫安全性控制中,的數(shù)據(jù)對象 下列哪一項與數(shù)據(jù)庫的安全的直接關(guān)系D．關(guān)系表中元組的數(shù)Apache 服務(wù)器的配置文件一般位于 .其中用來控制用戶訪問Apache 關(guān)于計算機具有的能力不正確的是:B.能將自身代碼注入到限C.能將自身代碼注入文本文件中并執(zhí)行D.能將自身代碼注入到文蠕蟲的特性不包括文件寄生服快隱蔽性關(guān)于網(wǎng)頁中的惡意代碼,下列說法錯誤的網(wǎng)頁中的代碼只能通過IE瀏覽器發(fā)揮作網(wǎng)頁中的代碼可以修改系統(tǒng)網(wǎng)頁中的代碼可以修改系統(tǒng)文網(wǎng)頁中的代碼可以竊取用戶的當(dāng)用戶輸入的數(shù)據(jù)被一個解釋器當(dāng)作命令或查詢語句的一部分執(zhí)行時,就會產(chǎn)生哪種類型的?C.信息下列哪一項不是的載體?者使用的YN包包的源地址和目標(biāo)地址都被設(shè)置成被方的地址,這樣被方會給自己發(fā)送YNK消息并發(fā)回K消息創(chuàng)建接,每一個這樣的連接都將保持到超時為止這樣過多的空連接會耗盡被方的資源,導(dǎo)致服務(wù)這種稱為之為:Land&B.SmurfC.ofDeathD.ICMP以下哪個步驟是IP(IPSPoof)系列對被冒充的主機進(jìn)行服務(wù),使其無法對目與目標(biāo)主機進(jìn)行會話,猜測目標(biāo)主機的序號規(guī)冒充受信主機想目標(biāo)主機發(fā)送數(shù)據(jù)包,目向目標(biāo)主機發(fā)送指令,以下針對Land的描述,哪個是正確的?A.Land是一種針對網(wǎng)絡(luò)進(jìn)行的方式,通過IP的方式向目標(biāo)主機發(fā)送性數(shù)據(jù)報文,導(dǎo)B.Land是一種針對網(wǎng)絡(luò)進(jìn)行的方式,通過向主機發(fā)送的源地址為目標(biāo)主機自身的連接請求,導(dǎo)致目標(biāo)主機處理錯誤形成服務(wù)&.Land是一種利用協(xié)議進(jìn)行的方式,通過發(fā)送定制的錯誤的數(shù)據(jù)包使主機系統(tǒng)處理錯誤而D.Land是一種利用系統(tǒng)進(jìn)行的方式,通過利用系統(tǒng)發(fā)送數(shù)據(jù)包導(dǎo)致系統(tǒng)下列對垮站(XSS)描述正確的是SS指的是者往B頁面里插入代碼當(dāng)用戶瀏覽該頁之時嵌入其中B里面的代碼會被執(zhí)行,從而達(dá)到用戶的特殊目的&XSS是DDOS的一種變C.XSS.就是CCD.XSS就是利用被控制的機器不斷地向被網(wǎng)站發(fā)送請求,迫使NS連接數(shù)超出限制,當(dāng)CPU資源或者帶寬資源耗盡,那么也就被攻擊垮了,從而達(dá)到目的下列哪一項不屬于FUZZ測試的特性主要針對軟件或可靠性錯誤進(jìn)試.一種試探性測試方法,沒有任何依據(jù)利用構(gòu)造畸形的輸入數(shù)據(jù)被測試目標(biāo)產(chǎn)對面(Attacksurface)的正確定義是一個軟件系統(tǒng)可被的的集合,軟件存在的面越多,軟件的安全性就越低對一個軟件系統(tǒng)可以采取的方法集合,一個軟件的面越大安全風(fēng)險就越大&一個軟件系統(tǒng)的功能模塊的集合,軟件的功能模塊越多可被的點也越多安全風(fēng)險也越大.一個軟件系統(tǒng)的用戶數(shù)量的集合,用戶的數(shù)量越多受到的可能性就越大安全風(fēng)險也越大以下哪個不是軟件安全需求分析階段的主要任務(wù)?確定團(tuán)隊和安全顧問建D.設(shè)立最低安全標(biāo)準(zhǔn)/Bug欄風(fēng)險評估方法的選定在PDCA循環(huán)中的那個實施和運D.監(jiān)視和評下面關(guān)于ISO27002的說法錯誤的是ISO27002的前身是ISO17799-ISO27002給出了通常意義下的管理ISO27002對于每個措施的表述分”控制措施”、ISO27002提出了十一大類的安全管理措施，其中風(fēng)險評估和處置是處于地位的一類安B．最完備的策略就是最優(yōu)的風(fēng)險管理C．在解決預(yù)防問題時要從經(jīng)濟技術(shù)、管理的可行性和有效性上做出權(quán)衡和取舍．防范不足就會造成損失；防范過多就可以避免損失。風(fēng)險評估主要包括風(fēng)險分析準(zhǔn)備、風(fēng)險素識于這些過程，以下的說法哪一個是正確的?風(fēng)險分析準(zhǔn)備的內(nèi)容是識別風(fēng)險的影響和可風(fēng)險結(jié)果判定的內(nèi)容是發(fā)現(xiàn)系統(tǒng)存在的你來到服務(wù)器機房隔壁的一間，發(fā)現(xiàn)窗戶壞了由于這不是你的你要求在這辦公的員工請維修工來把窗戶修好。你離開后，相關(guān)的真正出現(xiàn)的可能性會有什么影響？．如果窗戶被修好，真正出現(xiàn)的可能性會增加B．如果窗戶被修好，真正出現(xiàn)的可能性會保持不變C．如果窗戶沒被修好，真正出現(xiàn)的可能性會下降．如果窗戶沒被修好，真正出現(xiàn)的可能性會增加&在對安全控制進(jìn)行分析時，下面哪個描述是錯誤的？應(yīng)選擇對業(yè)務(wù)效率影響最小的安全措施&C．選擇好實施安全控制的時機和位置，提高安全控制的有效性．仔細(xì)評價引入的安全控制對正常業(yè)務(wù)帶來的影響，采取適當(dāng)措施，盡可能減少效應(yīng)以下哪一項不是管理工作必須遵循風(fēng)險管理在系統(tǒng)開發(fā)之初就應(yīng)該予以充分考慮，并要貫穿于整個系統(tǒng)開發(fā)過程之中風(fēng)險管理活動應(yīng)成為系統(tǒng)開發(fā)運行 直至廢棄的整個生命周期內(nèi)的持續(xù)由于在系統(tǒng)投入使用后部署和應(yīng)用風(fēng)險控制措施針對性會更強，實施成本會相對較低&對于信息系統(tǒng)風(fēng)險管理描述不正確的是掃描是整個安全評估階段重要的數(shù)據(jù)來風(fēng)險管理是動態(tài)發(fā)展的，而非停滯、靜態(tài)的C．風(fēng)險評估的結(jié)果以及決策方案必須能夠相互比較才可以具有較好的參考意義D．風(fēng)險評估最重要的因素是技術(shù)測試工具、 A．脆弱性增加了，利用了風(fēng)險并導(dǎo)致了、B．風(fēng)險引起了脆弱性并導(dǎo)致了，又引起了C．風(fēng)險允許利用脆弱性，并導(dǎo)致了D．利用脆弱性并產(chǎn)生影響的可能性稱為險，是已造成損害的實例統(tǒng)計數(shù)據(jù)對大多數(shù)計算機系統(tǒng)來說最大的是：本單位的雇員和商業(yè)風(fēng)險評估按照評估者的不同可以分為自評第評估這兩種評估方式最本質(zhì)的差別是什么？應(yīng)當(dāng)如何理解管理體系中的“信息C．組織對工作意圖的正式表達(dá)&A．外來人員在進(jìn)行時沒有收到足夠的B．一個人擁有了不是其完成工作所必要的權(quán)限C．敏感崗位和重要操作長期有一個人獨自負(fù)責(zé)．員工由一個崗位變動到另一人崗位，累積越來越多權(quán)限&中的信息系統(tǒng)普通用戶，以下哪一誰負(fù)責(zé)管理制度的制定和發(fā)誰負(fù)責(zé)都督制度的執(zhí)信息系統(tǒng)發(fā)生后，進(jìn)行恢復(fù)工作的具體流程&如果了制度可能受到的懲戒措職責(zé)分離是管理的一個基本概念。（操作破壞當(dāng)以下哪一類人員安全系統(tǒng)軟件的時候。會造成對“職責(zé)分離”原則的違背？一上組織財務(wù)系統(tǒng)恢復(fù)計劃恢復(fù)點（RPO是72小時。以下哪一技術(shù)方案是滿足需求且最一個可以在8小時內(nèi)用異步事務(wù)的備份日志D48小時內(nèi)運行起來的混站&依據(jù)《信息系統(tǒng)恢復(fù)（GB/T20988,步驟是恢復(fù)需求分析、恢復(fù)策略制定、恢復(fù)策略實現(xiàn)、恢復(fù)預(yù)案制定和管理；其中恢復(fù)策略實現(xiàn)不包括以下哪一項？（分析業(yè)務(wù)功能選擇和建設(shè)備份中實現(xiàn)災(zāi)備系統(tǒng)技術(shù)方實現(xiàn)災(zāi)備系統(tǒng)技術(shù)支持和能以下哪一種數(shù)據(jù)告缺方式可以保證最高的RPO要求：同步&B．異步C．定點拷貝D．基于磁盤的當(dāng)公司計算機網(wǎng)絡(luò)受到，進(jìn)行現(xiàn)場保護(hù)應(yīng)當(dāng):1〉指定可靠人2〉無特殊且十分必須原因任何人員進(jìn)出現(xiàn)場3〉應(yīng)采取措施防人為地刪除或修改現(xiàn)信息系統(tǒng)保留的數(shù)據(jù)和其他電子痕4〉無行列且十分必須原因任何人員接觸現(xiàn)場計算機有一些是由于信息系統(tǒng)中多個部分共同作用造成的人們稱這類“多組件事故，應(yīng)對這類安全最有效的方法是：．配置網(wǎng)絡(luò)檢測系統(tǒng)以檢測某些類型的違法或誤用行為B．使用防軟件，并且保持更新為的病毒特征碼C．將所有公共的服務(wù)放在網(wǎng)絡(luò)非軍事D.使用集中的日志審計工具和關(guān)聯(lián)分析軟下列哪項是基于系統(tǒng)的輸入、輸出和文件的數(shù)目和復(fù)雜性測量信息系統(tǒng)的大??？?功能點計劃評價與技術(shù)下列有關(guān)能力成熟度模能力成熟度模型可以分為過程能力方案（otinuous）和組織能力方案（aed）兩類B．使用過程能力方案時，可以靈活選擇評估和改進(jìn)哪個或哪些過程域C．使用組織機構(gòu)成熟度方案時，每一個級別都對底于一組已經(jīng)定義好的過程域DSSE-的針對系統(tǒng)安全工程的能力成熟度模型&下面哪一項為系統(tǒng)安全工程能力成熟度模型提供了評估方法？的系統(tǒng)安全能力成熟度模型達(dá)到哪（R提供充分的資源？A．2級――計劃和B．3級――充分定義C．4級――最化控D．5IT工程建設(shè)與T安全工程建設(shè)脫節(jié)是眾多安安全考慮，特別是要加強對數(shù)據(jù)安全性的考慮，以下哪項工作是在T項目的開發(fā)階段不需要重點考慮的安全因素？如果你作為甲方負(fù)責(zé)一個工程當(dāng)關(guān)注的是：Ａ．變更的流程是否符合預(yù)先的規(guī)定&某公司準(zhǔn)備在業(yè)務(wù)環(huán)境中部署一種新的計算機產(chǎn)品，下列哪一項是過程的最后一步？Ａ．認(rèn)證&Ｄ．識SSE-D.充分定應(yīng)急方法學(xué)定義安全處理的流程這（）準(zhǔn)備--檢測--遏制—根除—恢復(fù)—跟進(jìn)準(zhǔn)備---遏制--檢測—根除